Falla de seguridad en routers con Firmware de Movistar (en este caso ZTE ZXDSL 831ii y Comtrend CT-5367) – Cambio de DNS


Como ya saben desde meses atrás se tiene conocimiento que varios routers que instala Movistar presentan una falla de seguridad que permite a cualquiera acceder remotamente a los datos del usuario y contraseña (leer el post de redeszone), y esto viene siendo aprovechado por inescrupulosos para modificar los DNS haciendo que apunten a sus servidores e intentan forzar la instalación de diversos software maliciosos en las PCs de la red vulnerada. 

Siendo 14/11/2012, en los 4 últimos días encontré 2 redes de diferentes ciudades del Perú, con routers ADSL de diferentes marcas (Comtrend y ZTE) en los cuales los DNS habían sido modificados, ocasionando que, al intentar navegar desde las PCs de dichas redes, carguen páginas clonadas (ejemplo Gogole, Facebook, Youtube, Hotmail. etc) que descargan e intentan instalar automáticamente un software para que la página cargue normalmente.

Normalmente un antivirus actualizado impedirá la ejecución del archivo. En otros casos si se tiene algún tipo de seguridad para navegación web, la página clonada será bloqueada. Inicialmente algunos pensarán que tienen virus, buscarán y probablemente no encuentren nada, incluso alguno terminara formateando sus PCs pensando que con ello se solucionará el problema. Luego se dará cuenta que todo sigue igual, pues el origen del problema no está allí.

 

En la imagen un ejemplo del mensaje de alerta que arrojó McAfee Site Advisor al intentar acceder a una página

image

 

En la imagen se observa que al intentar acceder a Facebook, se muestra un mensaje en portugués indicando que se descargara e instalará un software, que supuestamente es una versión de Adobe Flash Player

image

 

En la vista se aprecia que los DNS que figuran en el router (Logré ingresar con un usuario sin permisos administrativos) , no corresponden a los de Movistar (en el caso de Perú son: 200.48.225.130 y  200.48.225.146) . Se observa que el DNS primario apunta a la IP 200.98.69.78

image

 

Efectuando un Tracert a dicha se observa que proviene de Brasil:

image

image

image

 

SOLUCIÓN:

Dado que en Movistar Perú normalmente no provee actualizaciones de firmware para los routers que instala; a los usuarios solo les queda protegerse como puedan. Así que debemos deshabilitar el acceso remoto al router

Lo primero que debemos hacer es modificar los DNS en el router, sea haciéndolo Uds mismos (para lo cual deben contar con el usuario y password de su router), solicitando a Movistar haga el cambio, o simplemente reseteando a fábrica el router (normalmente luego del reset a fábrica, la conexión a internet se mantiene sin problemas, pero si corrige los DNS).

En ambos casos que encontré, la solución fue resetear los router. Como ven en la imagen se corrigieron los DNS (y de paso ya logré acceder a la configuración del mismo con el usuario administrador y password por defecto se ambas marcas).

image

 

Hecho esto ingresen a la configuración del router y deshabiliten el acceso remoto, luego graben y reinicien dicho equipo:

En el caso del ZTE ZXDSL 831ii desmarcar todo en Remote Access:

image

 

En el caso del Comtrend CT-5367 desmarcar todo el lado WAN

image

 

Con esto se solucionó el problema en ambos casos:

image

 

CONSEJOS:

  • Revisen regularmente que los DNS de su router se hallen con los que corresponden.
  • Siempre instalar las actualizaciones y revisiones de seguridad de su sistema operativo y software instalado.
  • Mantener al día las firmas de virus en su antivirus.
[tweetmeme source=”itleadersperu” only_single=”false”]

Capacity Central America 2012–Panamá – 3 & 4 Octubre del 2012


 

Este evento se ve por demás interesante, así que les comparto la información que me llegó (dar clic en la imagen para información detallada):

Click to go to Contents

 

NEW for 2012:


1. We would like to welcome the inclusion of the Andean region into Capacity Central America 2012 – reflecting the increased traffic, investment and network expansion flowing from the region into Central America, speaking Andean representatives include:
– Carlos Pazmiño, General Manager, CABLE ANDINO (GRUPO TELCONET)
– Genaro García Domínguez, CEO, INTERNEXA
– Santiago Londoño Ramírez, President & CEO North America, ORBITEL
– Alfredo Zúñiga, CTO & COO, PROMITEL

2. A must-attend regulatory keynote panel discussion, including:
– Edwin Castillo, National Director of Telecommunications, ASEP (PANAMA)
– Miguel Vélez Núñez, President, CONATEL (HONDURAS)
– George Miley Rojas, President, SUTEL (COSTA RICA)
– Orlando Castillo, President, TELCOR (NICARAGUA)

3. Technology Workshop: Best Practices for Network and Operational Management (2 October, Pre-Capacity Central America)
– The new technology workshop is specifically designed for a select number of technical specialists
– A unique opportunity to learn from industry experts with real-world NOC & operational experience

4. An incredible line-up of international and regional executive panellists:
– Brian Green, CEO, AMERICAN DATA NETWORKS
– Karen Bevans, COO, BELIZE TELEMEDIA
– Edmundo de Gracía, VP – Planning & Engineering, CABLE ONDA
– Felix Camargo, Commercial and Operations Director, CABLE & WIRELESS COMMUNICATIONS
– Juan Manuel Campos Ávila, Consultant, CIBER REGULACIÓN
– Paul Scott, President & COO, COLUMBUS NETWORKS
– Iñigo García, CEO, GNF TELECOM
– Gabriel Holgado, SVP – Wholesale Services, Latin America & Caribbean, LEVEL 3 COMMUNICATIONS
– Jorge Iribarren, CEO, METRO MPLS
– Jorge Abadía, Director, MOVISTAR COSTA RICA
– Michael Wheeler, EVP, NTT COMMUNICATIONS
– Geoph Biddulph, Director of Wholesale – Americas, PCCW GLOBAL
– Rafael Arranz, EVP Marketing Capacity & IP Sales – America & Pacific, TELEFONICA INTERNATIONAL WHOLESALE SERVICES
– Greg Bryan, Senior Analyst, TELEGEOGRAPHY
– Roberto Rodríguez, Wholesale Director – One Network, TIGO

For more information on the agenda, speakers, sponsors and registration at Capacity Central America 2012 read the brochure:
http://www.capacitymagazine.com/pdfs/Capacity_Central%20Ams%202012-v12-LR.pdf

To read the brochure for the Technology Workshop click here:
http://www.capacitymagazine.com/pdfs/Central%20America%202012%20workshop.pdf
The early bird discount rate expires next Friday 24th August 2012 (save $150), please don’t miss this date!

SPECIAL GROUP DISCOUNT – REGISTER USING THE CODE: ‘LATSMEMBER’ AND RECIEVE AN EXTRA 5% OFF

[tweetmeme source=”itleadersperu” only_single=”false”]